Хакерская атака на Kaseya: где спрятался русский след?

Сергей Крон

О кибератаке руководство ФБР срочно доложило президенту США Джо Байдену, который потребовал от спецслужб провести тщательное расследование. А ведь еще недавно на встрече с Владимиром Путиным он попытался убедить российского президента принять меры по борьбе с киберпреступностью. Байден даже памятку Путину на встрече в Женеве подсунул. А в ней 16 важнейших секторов, начиная с энергетики и кончая водоснабжением, куда русские хакеры не должны соваться

Спустя несколько часов. Байден заявил: «И все же мы не уверены, что это русские».

Пресс-секретарь президента России заявил, что Вашингтон пока не направлял запросов в Кремль в связи с атакой на Kaseya. «Тема хакерских атак, в которых Запад обвиняет Россию, могла бы стать предметом обсуждения на двусторонних консультациях РФ и США», - отметил Песков.

Кстати, самым громким инцидентом за последнее время стал взлом серверов компании SolarWinds, о котором стало известно в декабре 2020 года. В СМИ его окрестили крупнейшей за последние пять лет кибератакой на правительственные структуры США. Злоумышленникам удалось получить доступ к системам американского Минфина, Национального управления по телекоммуникациям и информации, Госдепартамента и Пентагона. Среди пострадавших числятся и такие IT-гиганты, как Microsoft, Cisco, Intel, FireEye. Всего, согласно заявлению Белого дома, оказались под угрозой безопасность около 16 тыс. компьютеров государственных и коммерческих организаций. Обвинили в этом хакеров, работающих на Службу внешней разведки России.

Тем временем, спецслужбы США установили, что предполагаемые российские хакеры принадлежат группировке REvil, которая в конце мая организовала нападение на североамериканские и австралийский филиалы крупнейшего в мире производителя мяса JBS. Тогда в США приостановили работу все 40 заводов компании. Кроме того, JBS пришлось полностью остановить забой скота в Австралии и отменить смены на канадском заводе, который перерабатывает до 4,2 тыс. голов скота в день. В итоге JBS призналась, что заплатила бандитам выкуп в размере 11 млн. долларов.

В результате одной из крупнейших в истории кибератак, совершенных с целью вымогательства, во всем мире заблокирована работа нескольких тысяч различных компаний. Например, в Германии от атаки REvil, по данным Федерального ведомства по безопасности в сфере информационной техники, заблокирована работа десятков тысяч компьютеров.

В Швеции хакеры парализовали сеть продовольственных магазинов Coop: восемь сотен её торговых точек несколько дней не работали из-за того, что преступники «вырубили» все кассовые аппараты компании.

В американской компании BreachQuest, которая помогает бороться с программами-вымогателями, сообщили, что среди пострадавших оказались школа и некое предприятие, с которых потребовали выкуп в размере 45 тысяч долларов.

Группировка REvil взломала инструмент программного интерфейса VSA компании Kaseya и установила вредоносный апдейт, в результате которого пострадали тысячи клиентов этой американской фирмы. Хакеры путем шифрования данных заблокировали целые системы бухгалтерского учета.

Кибератака зафиксирована в Великобритании, Южной Африке, Канаде, Аргентине, Мексике, Индонезии, Новой Зеландии и даже в Кении.

Бандиты потребовали выкуп в размере 70 млн. долларов за разблокирование зашифрованных в результате взлома данных.

По утверждению Bloomberg, хакеры из REvil могут быть связаны с Россией. Так, представитель группировки, известный под ником UNKN, публикует материалы только на русском языке, указывает агентство. О том, что в группу входят преимущественно русскоговорящие хакеры, и, как считается, она базируется на территории бывшего СССР, сообщал и телеканал CNBC. В то же время представитель «Лаборатории компьютерной криминалистики Group-IB» пояснил «НИ», что если в REvil говорят на русском языке, это совсем не означает, что хакеры - русские. Кроме того, в настоящее время ни у кого нет доказательств их причастности к прогосударственным хакерским группам.

- Победить киберпреступность можно только всем миром, но препятствует этому геополитика, - считает один из ведущих мировых специалистов по IT-безопасности, глава «Лаборатории Касперского» Евгений Касперский.

В интервью РИА Новости он рассказал, что про сотрудничество стран по вопросам кибербезопасности он начал говорить еще с 2003 года, потому что уже тогда стало понятно, что это очень серьезная проблема. Киберпреступники совершают преступления в сети, где нет границ. Полицейские подразделения действуют только на своей территории. И бороться с киберпреступностью силами разобщенных киберполицейских подразделений совершенно неэффективно.

- Самые злобные, самые профессиональные хакеры говорят по-русски, - заявил Евгений Касперский. - Но есть киберпреступность, а есть кибершпионаж, есть преступники, а есть хакеры, которые работают на государство. Мы не можем точно указать, из какой страны пришла атака, но мы можем догадаться, допустим, по языку. Иногда остаются строчки кода, всякие опечаточки, и тогда мы можем вычислить, на каком языке они говорят. Наиболее профессиональные, наиболее агрессивные шпионские атаки совершают те, кто говорит на английском, на русском и на китайском. Среди хакеров есть китайцы, испанцы, португальцы, турки, русские. То есть там есть все языки, в том числе и ломанный английский. Но чаще всего заурядные киберпреступники говорят по-китайски и на латиноамериканском варианте испанского.

- Если говорить про самые профессиональные киберпреступные банды, то они почти все говорят по-русски. Почему? Потому что лучшие программисты в мире тоже говорят по-русски. Советская, российская система образования генерит наиболее толковых программистов в большом количестве. Самые злобные киберпреступники окончили те же университеты, что и самые профессиональные программисты, которые работают на светлой стороне.

Понятно, почему говорят о русских хакерах – потому что они наиболее продвинутые и технически оснащенные. При этом они иногда создают международные банды, в которых участвуют представители других языковых групп. Я не говорю о гражданах России, я говорю именно о русскоговорящих, хотя российских граждан там большинство. В созданных русскоязычными хакерами международных бандах они делают всю техническую начинку, а все остальные члены выполняют другие функции.

У меня нет никакой информации, которая могла бы каким-то образом указывать на российское государство, Кремль и подтвердить, что это именно они стоят за криминальными структурами, - считает Касперский.

Президент Владимир Путин после саммита с президентом США Джо Байденом рассказал журналистам, что Вашингтон и Москва договорились начать консультации по кибербезопасности. Он добавил, что стороны должны отбросить все теории заговора о нападениях, которые продолжают навязываться противниками российской внешней политики.